대한임상건강증진학회 코로나19 백신 알림으로 사칭한 北연계 해킹 공격 주의!

 

 

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

대한임상건강증진학회의 코로나19 백신 알림으로 위장한 北 연계 해킹 공격이 발견되어 사용자들의 각별한 주의가 필요합니다. 

 

 

[그림 1] 대한임상건강증진학회 코로나19 백신 알림으로 위장한 이메일 화면

 

이번 공격은 마치 대한임상건강증진학회가 공식적으로 보낸 최신 코로나19 백신 알림 내용처럼 위장한 것이 특징이며, 대부분 대북 분야 종사자가 위협 대상에 포함된 것으로 확인되었습니다.

실제 공격 이메일은 ‘<webmaster@healthpro.or.kr>’ 주소로 표기돼 있는데, 분석결과 ‘대한임상건강증진학회’ 실제 주소처럼 보이도록 발신지가 정교하게 조작된 것으로 확인되었습니다. 

 

ESRC의 분석 결과, 피싱 공격에 사용된 이메일 헤더 내부에서 ‘openChecker.jsp’ 코드가 발견됐는데, 이는 지난 25일 ‘SRT 서대구역 신규정차 운행 및 예매 개시 알림’ 메일의 헤더에 삽입된 정상 코드와 동일하며 본문 디자인도 유사한 점을 포착하였습니다. 

 

 

[그림 2] 정상적인 고속철도 신규 정차 운행 안내 이메일 화면

아울러 본문에 포함된 코로나19 백신 효능성 모니터링 설명 부분은 미국 보건복지부 산하기관인 질병통제예방센터(CDC)의 한국어 사이트 내용과 동일합니다. 이처럼 공격자는 공개된 정상 SRT 안내 내용과 CDC 문구를 무단으로 도용하여 실제 공격에 차용했습니다.

지난 3월 18일 공개한 '통일부 남북관계 주요일지로 위장한 北 공격'과 마찬가지로 최근 북한 배후로 지목된 이메일 기반 위협들은 발신지가 실제 이메일 주소와 동일하게 조작된다는 점에서 단순히 주소만 믿고 접근할 경우 개인정보 해킹 피해로 이어질 수 있습니다.

이번에 발견된 공격은 코로나19 백신 예약처럼 현혹해 본문 하단에 포함된 악성 피싱 링크를 클릭하도록 유도하는데, 이례적으로 피싱 서버가 실제 대한임상건강증진학회 사이트가 그대로 사용된 점을 확인했습니다. 일반적으로 보통의 피싱 공격은 또 다른 제3의 서버를 해킹해 피싱 사이트로 경유합니다.

 

 

[그림 3] 대한임상건강증진학회 로그인으로 위장한 피싱공격 화면

이렇게 실제 발신지 위장사이트를 피싱 거점으로 공용할 경우 침해사고 조사 및 신속한 후속 대응 측면에서 효율적인 부분이 있어 공격자들이 자주 쓰는 편이 아니지만, 반대로 수신자로 하여금 보다 신뢰할 수 있는 정보로 위장할 수 있는 장점이 있습니다.

특히, 이번 공격에 사용된 이메일에는 ‘날짜’의 북한식 표기인 ‘날자’라는 단어가 포함돼 있으며, 명령 제어(C2) 서버에 존재하는 웹셸(Webshell) 유형과 계정 탈취에 쓰인 위장 수법과 전술 명령 등이 북한 연계 사이버 공격 사례와 정확히 일치하는 것으로 확인되었습니다. 

 

공격 발신지로 사용된 본진 사이트에 피싱 거점 사이트까지 함께 포함한 경우는 처음 목격되었습니다.

 

한편, 이스트시큐리티는 이와 관련된 사이버 위협 정보를 한국인터넷진흥원(KISA) 등 관계 당국과 긴밀히 공유해 기존에 알려진 위협이 확산되지 않도록 협력을 유지하고 있습니다.